DATAPRIVACY. Risico s, wet- en regelgeving & de reikwijdte van de VS. Whitepaper

Transcriptie

1 DATAPRIVACY Risico s, wet- en regelgeving & de reikwijdte van de VS Na het tumult en de media-aandacht rondom de NSA-onthullingen, de Patriot Act inmiddels opgevolgd door de USA Freedom Act en PRISM, vragen veel organisaties zich af of hun gegevens wel veilig zijn en voldoende beschermd zijn tegen onbevoegde toegang. Hierdoor voelen organisaties de noodzaak om passende maatregelen te treffen voor de bescherming van hun eigen gegevens en die van klanten. Bijvoorbeeld door hun gegevens op te slaan binnen de Nederlandse landsgrenzen of tenminste binnen de Europese Unie. De vraag is of hiermee hun data wél veilig zijn ondergebracht en welke garanties lokale opslag nu precies biedt. Bij veel bedrijven heerst er grote onduidelijkheid over hoe dataprivacy wet- en regelgeving precies in elkaar steken. Daarbij lopen perceptie en feiten vaak door elkaar heen. Deze whitepaper heeft als doel om inzicht te verschaffen in de wetgeving ter bescherming van privacy en van persoonsgegevens in Nederland en de Europese Unie. Naast uitleg over de Nederlandse wetgeving en de rol die Europese regels daarin spelen, wordt er ingegaan op de vraag of een organisatie kan worden blootgesteld aan de USA Freedom Act en programma s als PRISM. De bevoegdheden en activiteiten van zowel de Nederlandse als Amerikaanse autoriteiten komen aan bod. De volgende vragen worden beantwoord: 1) Wat zijn de mogelijkheden tot toegang tot data voor justitie en veiligheidsdiensten in Nederland c.q. Europa? 2) Wat zijn de mogelijkheden tot toegang tot data voor justitie en veiligheidsdiensten uit de Verenigde Staten (VS)? 3) Wat is de oorsprong van de Patriot Act/USA Freedom Act en wat is de relevantie ervan? 4) Wat betekent dit voor in Nederland gevestigde bedrijven? 5) Welke initiatieven zijn er in Europa op het gebied van privacy en databescherming? 1 /

2 WAT U MOET WETEN Als een in Nederland opgericht en gevestigd bedrijf een Amerikaanse moedermaatschappij of vestiging heeft, dan wel structurele activiteiten in de Verenigde Staten ontwikkelt, dan kan de Amerikaanse overheid op basis van Amerikaanse wetgeving mogelijk data opvragen die hier is opgeslagen. Het is een misvatting dat Amerikaanse overheidsdiensten geen rechtsmacht hebben op grond van Amerikaans recht als de gegevens niet op Amerikaans grondgebied zijn opgeslagen. Een Amerikaanse overheidsdienst kan van bedrijven met een vestiging of structurele activiteiten in de VS, die possession, custody and/or control over bepaalde data hebben, data vorderen. (Zie verder hoofdstuk Patriot Act/USA Freedom Act ) Heb je als Nederlandse organisatie een Amerikaanse moedermaatschappij, breng dan een duidelijke scheidslijn aan tussen het Amerikaanse en Nederlandse bedrijf. Vermijd hierbij dat dezelfde personen leiding geven aan verschillende bestuursstructuren. Data kunnen niet zomaar worden opgevraagd. Er dient altijd een juridische grondslag te zijn voor het opvragen van data. Laat een jurist een vordering daarom altijd beoordelen. De mogelijkheid dat een Amerikaanse overheidsdienst data opvraagt buiten de Verenigde Staten is geen risico dat bedrijven onderling door middel van een contract kunnen uitsluiten. Nederlandse wetgeving op het gebied van privacy vormt geen vrijwaring onder Amerikaans recht. Het is niet zo dat alleen de Verenigde Staten wetgeving kennen die het mogelijk maakt om bepaalde data op te vragen. In ieder land inclusief Nederland zijn er wettelijke regels die dit onder bepaalde omstandigheden mogelijk maken. Ook dergelijke informatieverzoeken moeten altijd zorgvuldig worden getoetst door een jurist. WET- EN REGELGEVING De druk om te voldoen aan nationale en internationale wet- en regelgeving is zeker geen nieuw gegeven, maar is er de afgelopen periode niet minder op geworden. Tegelijkertijd is, bijvoorbeeld door het toenemend gebruik van clouddiensten, de IT-infrastructuur steeds meer geografisch verspreid. Bovendien staan door derden geleverde diensten zoals Software-as-a-Service op hun beurt vaak weer apart van de fysieke locatie van de IT-infrastructuur. Dit heeft tot gevolg dat het complexer wordt te bepalen waar data, als persoonsgegevens, zich nu eigenlijk bevinden. Bedrijven kunnen te maken krijgen met meerdere rechtsstelsels op het moment dat zij data opslaan en verwerken binnen een IT-dienst. De wetgevingskaders die in dat verband van belang zijn, zijn: wetgeving die betrekking heeft op privacy en bescherming van persoonsgegevens; en wetgeving die betrekking heeft op het vorderen en monitoren van opgeslagen data door overheidsinstanties (zoals toezichthouders, inlichtingendiensten en justitie) en private derde partijen. Wet bescherming persoonsgegevens In Nederland geldt sinds 2001 de Wet bescherming persoonsgegevens (Wbp). De Wbp bevat voorschriften over het rechtmatig verwerken van persoonsgegevens. Het doorgeven van persoonsgegevens naar landen buiten de Europese Unie is op grond van de Wbp alleen toegestaan als het betreffende derde land een passend beschermingsniveau voor persoonsgegevens heeft. De VS worden bijvoorbeeld geacht geen passend beschermingsniveau te hebben. Juist door de eerder genoemde geografische spreiding weten organisaties vaak zelf niet of ze wel voldoen aan de Wbp. Zo kan het bijvoorbeeld voorkomen dat een organisatie gebruik maakt van een service provider bij het verwerken of opslaan van persoonsgegevens voor zijn activiteiten in Nederland. Wanneer deze service provider zich in Nederland bevindt, 2 /

3 maar onder een Amerikaanse moedermaatschappij valt, kan het voorkomen dat op basis van Amerikaanse wetgeving de moedermaatschappij verplicht wordt gegevens af te geven waarover zij kan beschikken, terwijl dit in strijd is met de Wbp. De Nederlandse dochter bevindt zich in een spagaat, want moet aan de ene kant voldoen aan de Nederlandse wet, maar kan door de Amerikaanse moedermaatschappij die opereert onder buitenlandse regelgeving mogelijk gedwongen worden om in strijd met diezelfde wet te handelen. Tot voor kort was het mogelijk door gebruikmaking van het Safe Harbor-programma persoonsgegevens naar organisaties in de VS door te geven. Een Amerikaanse service provider kon verklaren zich te houden aan de uitgangspunten in het Europese recht op gebied van gegevensbescherming. In een uitspraak van 6 november 2015 heeft het Europese Hof van Justitie deze afspraak ongeldig verklaard. Doorgifte van persoonsgegevens vanuit de EU naar de VS of een ander land zonder passend beschermingsniveau is alleen nog mogelijk indien: 1. Gebruik wordt gemaakt van modelcontracten goedgekeurd door de Europese Commissie, op basis waarvan de doorgifte van persoons gegevens naar landen buiten de EU zonder passend beschermingsniveau wordt toegestaan; 2. De betrokkene toestemming heeft gegeven voor de doorgifte. Verder kan, indien gegevens worden uitgewisseld tussen verschillende entiteiten van één organisatie, gebruik worden gemaakt van zogenaamde Binding Corporate Rules. Dat zijn interne gedragscodes voor het gegevensverkeer binnen de eigen organisatie. Binding corporate rules moeten in overeenstemming zijn met de Europese privacy beginselen en moeten worden goedgekeurd door de Europese privacytoezichthouders. Gezien de overwegingen van het Europese Hof van Justitie in voornoemde uitspraak is het ook van deze drie mogelijkheden echter de vraag of deze nog houdbaar zijn. Inmiddels wordt onderhandeld tussen de Europese Commissie en de VS over nieuwe Safe Harbor principes. Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op de naleving en toepassing van de Wbp. Het CBP kan op dit moment nog maar in een beperkt aantal gevallen lage boetes opleggen, maar de boetebevoegdheid van het CBP wordt vanaf 1 januari 2016 uitgebreid, variërend van maximaal in de laagste categorie tot maximaal , of als dat geen passende straf is, 10% van de omzet van de organisatie, in de hoogste categorie. Dit voorstel is op 10 februari 2015 door de Tweede Kamer en op 26 mei 2015 door de Eerste Kamer aangenomen. Een onderzoek door het CBP naar een overtreding kan al belastend zijn, mede vanwege mogelijke reputatieschade. Dit geeft organisaties een stevig argument in handen voor een goede toets wanneer buitenlandse overheden verzoeken tot inzicht in data doen. Patriot Act/USA Freedom Act Hierboven is al kort de Patriot Act en de USA Freedom Act aangehaald, en dat er situaties voor kunnen komen dat bedrijven in Nederland hiermee te maken kunnen krijgen. Deze Amerikaanse wetgeving zorgt voor veel onduidelijkheden en zorgen. Daarom volgt hieronder uitleg vanuit een juridisch perspectief. Wat is de Patriot Act /USA Freedom Act? De Patriot Act was een Amerikaanse wet uit 2001, die zijn aanleiding vindt in de terroristische aanslagen van 11 september Na de aanslagen is besloten vergaande bevoegdheden te geven aan Amerikaanse autoriteiten om terrorisme effectief aan te pakken. De term Patriot Act staat voor Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act. De Patriot Act was een uitbreiding en aanvulling op een groot aantal bestaande wetten in de Verenigde Staten. In essentie komt het neer op een uitbreiding van de bevoegdheden voor Amerikaanse autoriteiten voor het vorderen en verzamelen van gegevens. De belangrijkste wetten die door de Patriot Act waren gewijzigd zijn de Foreign Intelligence Surveillance Act en de Electronic Communications Privacy Act. Op 2 juni 2015 is de Patriot Act vervangen door de USA Freedom Act. Hoewel de USA Freedom Act op onderdelen de bevoegdheden van Amerikaanse autoriteiten aanpast (in sommige gevallen beperkt, in andere juist vergroot in vergelijking met de Patriot Act), is er ten aanzien van de mogelijke gevolgen voor niet-amerikaanse bedrijven niets veranderd. De term USA Freedom Act staat voor: Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnetcollection and Online Monitoring Act. Wie vallen er onder de Patriot Act/USA Freedom Act? De USA Freedom Act heeft geen extraterritoriale werking, maar wel extraterritoriale gevolgen. Dit betekent dat bedrijven die niet in de VS gevestigd zijn, noch daar stelselmatig en continue activiteiten verrichten, zelf niet onder de USA Freedom Act vallen. Mits er aan bepaalde voorwaarden wordt voldaan hebben Amerikaanse autoriteiten echter de bevoegdheid om bij een Amerikaanse organisatie data op te vragen die is opgeslagen bij een niet in de Verenigde Staten gevestigde organisatie, die een band heeft met de Amerikaanse organisatie en de bevoegdheid heeft om daar apparatuur of software te installeren om zo gegevensverkeer te onderscheppen. Daarnaast geldt de bevoegdheid om volledige geheimhouding te vorderen met betrekking tot bovenstaande punten. Daarvoor moet de betrokken Amerikaanse organisatie natuurlijk wel onder de Amerikaanse rechtsmacht vallen. De volgende drie criteria houdt de Supreme Court in de Verenigde Staten aan om te bepalen of een (rechts)persoon onder Amerikaanse rechtsmacht valt: 3 /

4 misvatting dat er geen rechtsmacht bestaat onder Amerikaans recht als de gegevens niet op Amerikaans grondgebied zijn opgeslagen. Voor een Nederlandse organisatie is het vertrekpunt dat de Amerikaanse overheid geen zeggenschap heeft over diens doen en laten. Een uitzondering bestaat wanneer er sprake is van systematic and continuous activities in Amerika, een ander belangrijk criterium. Als bijvoorbeeld een Nederlandse organisatie datacenters in Amerika opent en daar activiteiten ontplooit, dan kan daar sprake van zijn. 1) aanwezigheid of domicilie van de (rechts)persoon in de Verenigde Staten; 2) de (rechts)persoon heeft ervoor gekozen zich te onderwerpen aan Amerikaanse wetgeving; of 3) de (rechts)persoon heeft zogenaamde minimum contacts in de Verenigde Staten. Minimum contacts zijn systematic and continuous activities in de Verenigde Staten. Of een organisatie die onder Amerikaanse rechtsmacht valt vervolgens inderdaad gedwongen kan worden om gegevens te overhandigen die buiten de VS zijn opgeslagen, wordt in de huidige rechtspraak bepaald aan de hand van drie criteria, namelijk possession, custody and/or control. Als één van de drie criteria aanwezig is, is dat voor een Amerikaanse rechter voldoende. 1) Possession: in hoeverre is er sprake van eigendom van de gegevens. Het gaat hier niet alleen om juridische eigendom of fysieke toegang, maar ook om de mogelijkheid om materiaal, praktisch gezien in handen te krijgen. 2) Custody: in hoeverre zijn de gegevens in bewaring bij de Amerikaanse organisatie. 3) Control: in hoeverre is er controle over de organisatie buiten de Verenigde Staten. Bijvoorbeeld de mate van aanwezigheid van een moeder-dochter relatie tussen bedrijfsentiteiten. Dit wordt o.a. getoetst door de grootte van het aandeel van de moedervennootschap in het aandelenkapitaal van de dochtervennootschap, de verbondenheid van de moeder en dochterentiteit in bestuursstructuren en de mate van toezicht die de moederentiteit uitoefent op de dochterentiteit. Zekerheid over wanneer er sprake is van control kan niet worden gegeven omdat er nog geen uitgekristalliseerde rechtspraak is. Het is verstandig hierover altijd juridisch advies in te winnen. Als een Nederlandse organisatie onderdeel is van een organisatie die is gevestigd in Amerika, dan kan deze Amerikaanse organisatie door de Amerikaanse veiligheidsdiensten worden aangesproken om bepaalde gegevens te leveren die zijn opgeslagen bij de Nederlandse organisatie. Dat is echter alleen mogelijk, wanneer de Amerikaanse entiteit possession, custody and/or control heeft over die gegevens. Vorderen van gegevens Gegevens kunnen worden gevorderd van een organisatie die onder Amerikaanse rechtsmacht valt, en die possession, custody and/or control over die gegevens heeft. Het komt erop neer dat een bedrijf of persoon over de gegevens moet kunnen beschikken. Het is niet direct relevant op welk grondgebied die organisatie zijn gegevens opslaat, hoewel gegevens op Amerikaans grondgebied eerder onder het criterium zullen vallen. Het is dus een Soms kunnen gegevens worden opgevraagd op basis van bilaterale afspraken tussen landen. Dit kan echter alleen via een rechtshulpverzoek bij strafzaken. Nederland staat doorgaans welwillend tegenover een dergelijk rechtshulpverzoek. Als een verzoek wordt gehonoreerd, worden de Nederlandse opsporingsdiensten ingezet om de gegevens te verkrijgen. Voor de inzet van sommige bevoegdheden vindt er een dubbele toets plaats: het feit moet dan strafbaar zijn in zowel Nederland als in het land dat het verzoek doet tot de aanvraag van data. PRISM Andere landen kennen vergelijkbare bevoegdheden als de Amerikaanse autoriteiten hebben op basis van de USA Freedom Act, maar de brede rechtsmacht die de Amerikaanse autoriteiten zich hebben gegeven, gaat ver. Vandaar ook de verontwaardiging over de reikwijdte van de USA Freedom Act. Maar niet alleen de reikwijdte van de USA Freedom Act is een bron van zorg. Een aanwijzing over hoe ver de Amerikaanse autoriteiten gaan bij het uitoefenen van de hun nationale bevoegdheden, blijkt onder meer uit PRISM. PRISM is een speciaal surveillanceprogramma gericht op personen buiten de Verenigde Staten ( non-us citizens ). In de praktijk worden er echter met dit programma ook gegevens van Amerikanen zelf verzameld. PRISM is een interface met vele achterliggende systemen, vergelijkbaar met een zoekmachine. PRISM analyseert grote datastromen om onregelmatigheden 4 /

5 te filteren en te linken aan personen. Daarbij richt PRISM zich specifiek op persoonsgegevens, via internetbedrijven als o.a. Google, Facebook, Youtube en Yahoo! De term PRISM staat voor Planning tool for Resource Integration, Synchronization and Management. Situatie in Nederland: juridisch Ook in Nederland hebben opsporingsinstanties en inlichtingendiensten onder bepaalde omstandigheden het recht om data op te vragen. Dit is geregeld in het Wetboek van Strafvordering en in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2002). De Commissie Dessens kwam in december 2013 met een rapport dat ervoor pleit dat de bevoegdheden voor opsporingsdiensten moeten worden uitgebreid. Tot slot is er het wetsvoorstel Computercriminaliteit III, dat een aanpassing inhoudt van het Wetboek van Strafvordering. Dit voorstel bevat een bevoegdheid om computers op afstand binnen te dringen; hacken door de politie. Vele bedrijven binnen de internet- en technologiesector, alsmede belangenorganisaties zoals digitale burgerrechtenorganisatie Bits of Freedom hebben hier harde kritiek tegen geuit, en het Ministerie van Veiligheid en Justitie opgeroepen om het voorstel in te trekken. Hier is geen gehoor aan gegeven en het voorstel ligt bij de Raad van State. De verwachting is dat het wetsvoorstel in september naar de Tweede Kamer zal worden gestuurd. In België, Frankrijk en Duitsland bestaan al vergelijkbare bevoegdheden voor de politie. Op basis van een verdenking, kan de politie hacken. Ook toezichthouders zoals de Autoriteit Consument & Markt (ACM, de opvolger van onder meer de OPTA) en het CBP hebben de bevoegdheid om een onderzoek in te stellen. De bevoegdheden van de ACM en het CBP staan niet in het Wetboek van Strafvordering, maar in respectievelijk de Telecommunicatiewet, de Wbp, en in de Algemene wet bestuursrecht. De ACM en het CBP kunnen onder meer een (onaangekondigd) bedrijfsbezoek verrichten, inlichten vragen, inzage vorderen en gegevens meenemen. EUROPESE INITIATIEVEN Data in Europa Het nadenken over wat de USA Freedom Act betekent of zou kunnen betekenen, gaat hand in hand met het bestuderen van het geheel aan vergelijkbare regelingen in nationale wetgeving en in EU richtlijnen en verordeningen. Er zijn zorgen in Europa over de toegang door opsporingsinstanties tot (cloud) gegevens en die staan niet los van de op het spel staande handelsbelangen. De handelsbelangen van de Amerikaanse industrie, maar ook die van Europese cloud-bedrijven. Dit werkt in de hand dat een deel van de informatievoorziening gekleurd is om bestaande zorgen uit te vergroten of juist weg te nemen of te bagatelliseren. Het volgen van de ontwikkelingen binnen de Europese Unie is onontbeerlijk, omdat Europese Unie bezig is regels op te stellen met betrekking tot de bescherming van persoonsgegevens van personen binnen de Europese Unie in de Algemene verordening gegevensbescherming (Verordening Gegevensbescherming). Europese Unie Initiatieven De Europese Commissie heeft in 2012 voorstellen gepresenteerd voor de herziening van de privacyregelgeving in de EU. Een grondige aanpassing van de regelgeving was ook nodig: de huidige Europese privacyrichtlijn stamt uit 1995 toen het internet nog in de kinderschoenen stond. De voorstellen bestaan uit een Algemene Verordening Gegevensbescherming en uit een Richtlijn gegevensbescherming opsporing en vervolging. Inmiddels is binnen de Raad van Ministers van de Europese Unie (de Raad ) een gemeenschappelijk standpunt bepaald en zijn onderhandelingen over de definitieve teksten tussen de Raad, de Europese Commissie en het Europees Parlement begonnen. Nadat overeenstemming is bereikt zal de verordening binnen alle lidstaten directe werking hebben en nationale wetten zoals de Wbp vervangen. De richtlijn zal op termijn via nationale wetgeving in iedere lidstaat in nationaal recht worden geïmplementeerd. Indien het voorstel in zijn huidige vorm wordt aangenomen, kunnen bedrijven boetes opgelegd krijgen voor overtredingen, die tot maar liefst 1 miljoen euro of twee procent van de jaarlijkse wereldwijde omzet van een bedrijf kunnen oplopen. De grote Amerikaanse multinationals en ook anderen hebben zwaar gelobbyd tegen het voorstel. Zij denken dat hun operationele activiteiten rondom gegevens veel ingewikkelder (en dus duurder) worden. Vergeleken met het voorstel van het Europees Parlement zijn de verplichtingen en risico s voor bedrijven die met persoonsgegevens te maken hebben in het voorstel van de Raad echter behoorlijk afgezwakt. Praktische gevolgen De Algemene Verordening Gegevensbescherming zal aanzienlijke gevolgen hebben voor het dagelijkse gegevensbeheer en het inrichten van de organisatie daaromheen. Bij de inspanning die organisaties op het gebied van gegevensbeheer zullen moeten gaan leveren, valt te denken aan: Faciliteiten die het mogelijk maken de opgevraagde informatie van een individu snel toegankelijk te maken. Inrichting van gegevensmodellen en maatregelen die het mogelijk maken de persoonsgegevens uit de databases en eventuele chat-, correspondentieen mailhistorie te verwijderen. Inrichting van faciliteiten waaruit de oorsprong van de data is af te lezen, omdat doelbinding essentieel is en omdat de Privacy Officer van voldoende informatie voorzien moet worden (Documentatieplicht). Bedrijven die nog geen maatregelen op het gebied van data-governance, -kwaliteit en -logistiek hebben genomen, moeten daar alsnog grote inspanningen voor doen om in staat te zijn snel correcte gegevens aan de aanvrager te tonen. Er gaan soms jaren overheen om een goed centraal gegevensbeheer in te richten, zij zullen dus snel moeten starten. Invloed op de ingerichte, of in te richten gegevensstrategie, omdat rekening 5 /

6 gehouden moet worden met de regels over beveiliging van persoonsgegevens en mogelijk nieuwe lijnen waarlangs gegevens, de metadata en de herleidbaarheid daarvan ingebouwd moeten zijn (Privacy by Design). Het uitvoeren van Privacy Impact Assessments en Risico Assessments. Protocollen voor het doen van een melding in geval van een datalek. Faciliteiten die het mogelijk maken gegevens op zo n manier aan te leveren dat deze door de betrokkene kunnen worden geëxporteerd (Dataportabiliteit). Bedrijven/instellingen die van meer dan vijfduizend mensen data beheren moeten mogelijk een Privacy Officer aanstellen. De definitie van het begrip persoonsgegevens is ruim. Alle data over een individueel persoon of die daartoe direct of indirect herleidbaar zijn, vallen binnen de scope. VRAGEN EN RISICO S Multinationals en Nederlands/ Europees opererende bedrijven Organisaties die enkel binnen Nederland of de Europese Unie opereren en dus ook geen gebruik maken van Amerikaanse (cloud)infrastructuur hebben meer mogelijkheden dan internationaal opererende multinationals om het risico te verkleinen dat Amerikaanse instanties zich toegang verschaffen tot door die organisaties beheerde gegevens. Europees of lokaal opererende organisaties kunnen daarbij kiezen om gebruik te maken van een provider die geen infrastructuur buiten Europa gebruikt bij zijn dienstverlening. Voor multinationals met vestigingen buiten Nederland en de Europese Unie zijn de risico s minder goed te ondervangen. Deze bedrijven zullen soms niet de optie hebben gegevens enkel binnen de Europese Unie te verwerken, omdat de gegevens nu eenmaal ook buiten de Europese Unie nodig zijn. Inschakelen van een provider die zijn infrastructuur voor gegevensverwerking alleen in Nederland of de Europese Unie heeft, is daardoor niet altijd een oplossing. Ook multinationals hanteren modelcontracten die doorgifte buiten Europa mogelijk maakt. Omdat multinationals in meerdere landen vestigingen hebben, kunnen deze in die landen zelf het verzoek krijgen om data aan autoriteiten ter beschikking te stellen. Hier kan het voorbeeld worden genoemd van toegang door Amerikaanse autoriteiten op basis van de USA Freedom Act. Een multinational met een vestiging of moedermaatschappij in Amerika is in veel gevallen zelf vatbaar voor een verzoek om data te verstrekken die zich in Europa bevinden bij bijvoorbeeld een Europese dochtermaatschappij. Het gebruik bijvoorbeeld van een strikte Nederlandse provider zonder buitenlandse banden, biedt in dat geval geen bescherming. Vanwege de geheimhoudingsplicht bij een gag order kan een verzoek tot afgifte van data bij een provider die zelf onder de reikwijdte van de Amerikaanse wetgeving valt onder de USA Freedom Act zelfs onopgemerkt blijven met als gevolg dat de multinational hiervan niet op de hoogte is en zich dus niet kan verzetten. Waterdichte garanties zijn moeilijk te geven, wel zijn processen zo in te richten dat de risico s beperkt of beheersbaar blijven. 6 /

7 TIPS VOOR ORGANISATIES VOOR HET OMGAAN MET DATA Wet- en regelgeving is geen gemakkelijke kost en ten aanzien van data privacy is het belangrijk om kennis op te doen. Nog belangrijker is om de vertaalslag te maken naar de business. Welke aspecten zijn relevant voor het bedrijf, de bedrijfsvoering en partners? Tips: hoe om te gaan met dataprivacy 1. Breng in kaart welke gegevens er voor welke doeleinden worden gebruikt ( datamapping ). Beoordeel om wat voor data het precies gaat. Het begint bij het kritisch beoordelen van de aard van de gegevens. Is het bedrijfskritische, confidentiële data? Gaat het om persoonsgegevens, en welke bewerkingen worden hiermee gedaan? Kijk kritisch naar de classificatie van data. 2. Stel een interne of externe Privacy Officer met specialistische kennis op het gebied van privacy aan. Niet alleen om vooruit te lopen op de mogelijke verplichting vanuit de Algemene Verordening Gegevensbescherming, maar juist ook om de ingerichte, of nog in te richten, gegevensstrategie vorm en invulling te geven op het gebied van data-governance, -kwaliteit en -logistiek. 3. Beoordeel partners en leveranciers niet alleen op de locatie van een vestiging, maar juist ook op eventuele banden met ondernemingen die zijn gevestigd in de Verenigde Staten, bijvoorbeeld via een Amerikaanse moedermaatschappij. Is er een duidelijk waterscheiding tussen het Amerikaanse en Nederlandse bedrijf? Hoe wordt gewaarborgd dat er geen toegang is tot de data die door het Nederlandse bedrijf worden beheerd of zijn gegenereerd? 4. Win juridisch advies in van specialisten. Om te anticiperen op mogelijke risico s is het onvermijdelijk juridisch advies in te winnen. Bedenk ook dat wet- en regelgeving aan verandering onderhevig is, en de Europese wetgever niet stil zit. 5. Bereid je voor op een verzoek tot inzage van gegevens. Denk bijvoorbeeld aan het opstellen van een draaiboek. Data kunnen niet zomaar worden opgevraagd, er dient altijd een juridische grondslag te zijn. Vraag hier dus ook altijd naar en toets de vordering. Laat een intern of extern jurist de vordering beoordelen. 6. Zorg dat er een protocol klaar ligt voor het geval er een datalek plaatsvindt. 7. Zorg dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is. NAWOORD De aanhoudende media-aandacht rondom dataprivacy, USA Freedom Act en de NSA-onthullingen vorig jaar is uiteraard ook onze klanten niet ontgaan. Om vragen over dataprivacy van onze klanten, en andere intern of extern betrokkenen, te kunnen beantwoorden, hebben we zelf een goed begrip ervan nodig. Daarom organiseerde Interxion een kennissessie over dit onderwerp. De sessie werd geleid door Machteld Robichon van bureau Brandeis. Zij lichtte de achtergronden van dit onderwerp toe en gaf uitleg over hoe een en ander juridisch in elkaar steekt. Volledigheidshalve merken wij op dat dit document geen juridisch advies bevat. Voor het bepalen van uw exacte juridische positie dient contact te worden opgenomen met uw juridische afdeling of een advocaat. Interxion bedankt Machteld Robichon voor haar bijdrage aan de totstandkoming van deze whitepaper. Michael van den Assem, algemeen directeur Interxion Nederland B.V. Schiphol-Rijk, augustus 2015 OVER INTERXION Interxion is een toonaangevende Europese leverancier op het gebied van cloud- en carrier-neutrale colocatie datacenterdiensten, en bedient klanten vanuit meer dan 35 datacenters in 11 Europese landen. Interxion is in 1998 opgericht in Nederland en het Europese hoofdkantoor bevindt zich in Schiphol-Rijk. Interxion heeft 7 datacenters in de regio Amsterdam. 7 /

8 INTERXION NETHERLANDS Main: Fax: nl.info@interxion.com INTERNATIONAL HEADQUARTERS Main: Fax: hq.info@interxion.com EUROPEAN CUSTOMER SERVICE CENTRE (ECSC) Toll free from Europe: Toll free from the US: customer.services@interxion.com Interxion is compliant with the internationally recognised ISO/IEC certification for Information Security Management and ISO for Business Continuity Management across all our European operations. Copyright 2014 Interxion. WP-ENT-NL-PRIVACY-NL-nl-8/15